Couche de filtrage

Une couche de filtrage est un point dans la pile réseau TCP/IP où les données réseau sont transmises au moteur de filtre pour la correspondance avec l’ensemble actuel de filtres. Chaque couche de filtrage de la pile réseau est identifiée par un identificateur de couche de filtrage unique.

Lorsqu’un filtre est ajouté au moteur de filtre, il est ajouté à une couche de filtrage désignée où il filtre les données réseau. Des champs de données spécifiques sont mis à disposition à chaque couche de filtrage pour le traitement par les filtres qui ont été ajoutés au moteur de filtre au niveau de cette couche. Si le moteur de filtre transmet les données réseau à une légende pour un traitement supplémentaire, il inclut ces champs de données et toutes les métadonnées disponibles au niveau de cette couche de filtrage.

Les identificateurs de couche de filtrage au moment de l’exécution (FWPS_XXX) sont utilisés par les pilotes de légende en mode noyau. Les identificateurs de couche de filtrage de gestion (FWPM_XXX) sont utilisés par les fonctions FwpmXxx qui interagissent avec le moteur de filtrage de base (BFE) en mode utilisateur ou en mode noyau (par exemple, FwpmFilterAdd0).

Les types de données FWPS sont plus petits que leurs équivalents FWPM : les identificateurs de couche de filtrage FWPM sont des GUID (128 bits), tandis que les identificateurs de couche de filtrage FWPS sont des LUID (64 bits). La taille inférieure des types de données FWPS améliore les performances du système, car les comparaisons d’entiers sont plus rapides que les comparaisons GUID pour le trafic en temps réel, et la mémoire du noyau gère les types FWPS plus efficacement.